每周質(zhì)量報(bào)告——誰(shuí)動(dòng)了我們的支付寶
【演播室】
共同打造高質(zhì)量的生活�����,歡迎收看《每周質(zhì)量報(bào)告》。有統(tǒng)計(jì)數(shù)據(jù)顯示,截止到2013年12月�����,我國(guó)的網(wǎng)購(gòu)用戶已經(jīng)超過3億人����,網(wǎng)購(gòu)零售市場(chǎng)交易額達(dá)到1.8萬(wàn)億元以上����。而隨著網(wǎng)絡(luò)購(gòu)物規(guī)模的不斷擴(kuò)大�,網(wǎng)絡(luò)支付的應(yīng)用范圍也越來(lái)越廣泛,隨之而來(lái)的安全性問題也就越來(lái)越引人關(guān)注了����。那么您的網(wǎng)絡(luò)支付賬戶到底安不安全呢?針對(duì)這個(gè)問題我們的記者展開了調(diào)查�����。
【正文】
上海的余小姐在當(dāng)?shù)匾患医ú某墙?jīng)營(yíng)著一個(gè)鋁合金門窗店鋪,為了拓展銷售渠道�,從去年年初開始,她在淘寶網(wǎng)開設(shè)了一家網(wǎng)店�,開始把自己店里的門窗產(chǎn)品放到網(wǎng)上銷售。自從開了網(wǎng)店以后����,店里的銷售增加了不少,這讓余小姐非常高興��?��?墒侨ツ昴甑姿谧约揖W(wǎng)店上卻經(jīng)歷了這樣一件怪事�����。
【同期】余小姐
他就說(shuō)我要買的東西呀�,像那個(gè)圖片啊�,實(shí)物啊,尺寸啊都在這個(gè)二維碼里面���,叫我用那個(gè)手機(jī)掃一下看就能知道了
【正文】
余小姐想都沒想就將那個(gè)二維碼掃進(jìn)了自己的手機(jī)里����,可是,就在她掃碼以后����,手機(jī)里卻沒有看到那位買家所說(shuō)的相關(guān)信息。
【同期】余小姐
我就跟他說(shuō)我說(shuō)我什么都看不到��,他就說(shuō)那你把你的電話給我 我跟你本人聯(lián)系��,我當(dāng)時(shí)也沒有多想���,我就把另外一個(gè)手機(jī)號(hào)就不是我的��,我就發(fā)給他了����,他說(shuō)我要專門跟你聯(lián)系��。 我說(shuō)那行�����,我又把我的手機(jī)發(fā)給他了 �,但是過了段時(shí)間之后,他沒有跟我聯(lián)系����。
【正文】
可就在余小姐吃飯回來(lái)以后發(fā)現(xiàn),用自己的手機(jī)怎么也登錄不進(jìn)自己的淘寶帳號(hào)了��。
【同期】余小姐
首先是我的手機(jī)來(lái)看�,手機(jī)密碼我登進(jìn)去,怎么也就說(shuō)我手機(jī)密碼錯(cuò)誤不正確��,我就有點(diǎn)納悶了我說(shuō)是不是被人盜了��,我當(dāng)時(shí)有這疑慮了����,我就馬上登到我的那個(gè)電腦上去看,因?yàn)殡娔X是不需要的��,因?yàn)榫途W(wǎng)銀是打開的���,我沒有關(guān)電腦����,當(dāng)時(shí)我進(jìn)去一看����,我的三千塊錢沒有了���,我當(dāng)時(shí)就感覺受騙了。
【正文】
讓余小姐沒有想到的是���,不僅僅自己支付寶賬戶里的余額被全部轉(zhuǎn)走了�,另外一張和支付寶綁定的銀行卡中也有兩千元被轉(zhuǎn)走了����。
短短不到一個(gè)小時(shí)的時(shí)間,余小姐就損失了五千塊錢���,這讓她驚慌失措���。她在凍結(jié)銀行卡的同時(shí),第一時(shí)間向派出所報(bào)了案����,同時(shí)也和支付寶公司取得了聯(lián)系。
支付寶公司的技術(shù)人員在分析了余小姐的經(jīng)歷之后�,認(rèn)為導(dǎo)致余小姐支付寶賬戶被盜的原因,就出在那個(gè)奇怪的二維碼上����。
【同期】支付寶公司安全工程師
她就用手機(jī)去拍了這個(gè)二維碼,導(dǎo)致這個(gè)手機(jī)上面中了一些相關(guān)的木馬病毒�,那其實(shí)這個(gè)木馬,最大的作用是將您收到的所有的短信同時(shí)轉(zhuǎn)發(fā)到盜用者的那個(gè)手機(jī)上面����。
【正文】
二維碼怎么會(huì)成為盜取支付寶賬戶的工具呢?為了弄清楚余小姐的支付寶賬戶到底是怎么被盜的����,記者找到另外一名網(wǎng)絡(luò)安全工程師,這位工程師證實(shí)�����,二維碼確實(shí)有可能幫助不法分子盜取用戶的相關(guān)信息�,從而盜取支付寶中的錢財(cái)。
【同期】網(wǎng)絡(luò)安全工程師 張浩然
一掃我們看到現(xiàn)在出來(lái)一個(gè)鏈接��,如果你點(diǎn)擊之后�,它就會(huì)下載一個(gè)手機(jī)軟件,你點(diǎn)安裝�,實(shí)際上就是把木馬給安上了,我這個(gè)手機(jī)現(xiàn)在是已經(jīng)安裝完木馬了,就是一個(gè)短信竊取的木馬��,然后呢現(xiàn)在呢我現(xiàn)在手里有兩臺(tái)手機(jī)�,這臺(tái)Iphone就可以看作是黑客的手機(jī),實(shí)際上是這個(gè)木馬盜取的這個(gè)手機(jī)的所有短信���,都被轉(zhuǎn)到這臺(tái)Iphone上了�。
【正文】
記者隨后往安裝了木馬程序的手機(jī)上發(fā)送了一條內(nèi)容為“中央電視臺(tái)節(jié)目測(cè)試”的短信��,隨后發(fā)現(xiàn)不僅這臺(tái)手機(jī)接收到了相關(guān)信息�����,被設(shè)定為黑客手機(jī)的Iphone上也顯示接收到了記者發(fā)來(lái)的短信息�。
【同期】網(wǎng)絡(luò)安全工程師 張浩然
實(shí)際上就是你的短信被他監(jiān)控了,你這臺(tái)手機(jī)收到的短信會(huì)被它以短信的形式轉(zhuǎn)發(fā)到黑客的手機(jī)上�,就這臺(tái)Iphone,然后如果他用你的手機(jī)號(hào)或者以你的其他的個(gè)人資料去申請(qǐng)重置一些支付賬戶的密碼��,這些驗(yàn)證短信都會(huì)被轉(zhuǎn)到他的手機(jī)上���,就非常危險(xiǎn)
【正文】
事實(shí)上�����,在支付寶的轉(zhuǎn)賬或者交易過程中�����,用戶必須要用到支付寶的登陸密碼和交易密碼�����,這兩大密碼屬于絕對(duì)隱私�,不法分子一般不大可能知曉�����。但是����,他們?cè)讷@取了用戶身份證信息和與支付寶賬戶綁定的手機(jī)號(hào)碼信息后,卻可以利用支付寶找回密碼的功能重置用戶的這兩大密碼,這就是不法分子在余小姐掃描二維碼后還問她要手機(jī)號(hào)碼的原因。隨后�,不法分子再通過惡意二維碼種植木馬程序,就能截獲在找回密碼過程中本應(yīng)發(fā)到用戶本人手機(jī)上的驗(yàn)證碼��,從而輕而易舉地修改用戶的兩大密碼��,在用戶不知情的情況下將支付寶里的余額轉(zhuǎn)走��。由于登陸密碼已經(jīng)被不法分子修改�,所以后來(lái)余小姐發(fā)現(xiàn)異常后登陸不進(jìn)自己的支付寶賬戶。但是����,不法分子究竟是怎么獲得她本人身份證、手機(jī)號(hào)這些隱私信息的����,余小姐百思不得其解。
【同期】支付寶公司安全工程師
還可能會(huì)分成AB角�����,就是A角來(lái)引導(dǎo)你安裝手機(jī)木馬���,那B角在過程中會(huì)以另外一個(gè)比如說(shuō)假顧客的名義��,我沒有支付寶那我可能是需要通過銀行給你轉(zhuǎn)賬的�����,麻煩你把銀行的卡號(hào)的信息給到我��,那么我給你轉(zhuǎn)賬����,然后馬上會(huì)跟著來(lái)說(shuō),銀行要求我提供那個(gè)被轉(zhuǎn)賬人的身份證號(hào)碼����,麻煩你把身份證號(hào)碼給到我,會(huì)有這樣的一個(gè)行為����,那么另外一個(gè)也有可能就是說(shuō)��,個(gè)人的一些信息�����,包括名字啊���,身分證號(hào)碼已經(jīng)出現(xiàn)過泄露�,那可能再通過互聯(lián)網(wǎng)的一個(gè)整體的一個(gè)黑市上面會(huì)有一些相關(guān)信息做匹配的一些資料庫(kù)��,可以去做一些搜索�,所以可能會(huì)是在這些環(huán)節(jié)出現(xiàn)了一些相關(guān)的泄露。
【正文】
目前����,支付寶賬戶被盜的用戶遠(yuǎn)不止余小姐一人�����,對(duì)于這些情況��,支付寶公司也并不否認(rèn)����。不過�,他們認(rèn)為,只要用戶在使用過程中提高安全防范意識(shí)�,防止重要隱私信息的泄露,賬戶被盜的風(fēng)險(xiǎn)則會(huì)降低很多�����。
【同期】支付寶公司安全工程師
風(fēng)險(xiǎn)發(fā)生率應(yīng)該是在十萬(wàn)分之一左右����,那這個(gè)過程中我們沒辦法去擔(dān)保100%所有的用戶的支付寶全部是安全的,我們現(xiàn)在大多數(shù)遇到的這些問題其實(shí)用戶本身的安全意識(shí)比較低下所以會(huì)產(chǎn)生一些包括像個(gè)人的信息泄露也好����,包括像收到的手機(jī)短信校驗(yàn)的這種相關(guān)的一些核心的信息��,出現(xiàn)了相關(guān)的泄露
【正文】
此前采訪的一位工程師告訴記者:類似惡意二維碼這樣的木馬鏈接�����,雖然不容易被察覺���,但只要多加注意,不隨便掃描來(lái)源不明的二維碼��,手機(jī)被種植木馬的幾率還相對(duì)較小���。而另外一種利用偽基站詐騙的方式則是將帶有惡意鏈接的短信偽裝成銀行、電信的常用客服號(hào)碼發(fā)送���,通過誘騙用戶點(diǎn)擊相關(guān)鏈接��,上當(dāng)安裝木馬�����,由于具有極大的隱蔽性和欺騙性�,一般人很難防范���。
隨后���,記者在調(diào)查過程中與專家一道發(fā)現(xiàn)偽基站發(fā)送的短信號(hào)碼竟然可以隨便定義�。
【同期】 網(wǎng)絡(luò)安全工程師 張浩然
你的手機(jī)走進(jìn)我這個(gè)信號(hào)范圍之內(nèi)��,就會(huì)被這個(gè)偽基站吸進(jìn)來(lái)���,我這會(huì)顯示你的手機(jī)這就是你的設(shè)備�����,然后我可以自己定義你的設(shè)備����,比如我把你這臺(tái)手機(jī)Iphone定義成12300����,然后我把這個(gè)我這臺(tái)設(shè)備定義成95588,然后我可以給你選擇給你發(fā)什么短信�。
【正文】
將每臺(tái)設(shè)備的名稱定義好了以后,工程師編緝了一條內(nèi)容為“工行電子密碼器即將失效�,請(qǐng)登入某某網(wǎng)站升級(jí)維護(hù)的”的短信,并發(fā)送給了記者的手機(jī),就在他將電腦上的確認(rèn)鍵按下的同時(shí)��,記者的手機(jī)收到了這條短信���。而短信的來(lái)源上赫然顯示是95588�,也就是我們?nèi)粘J熘墓ば锌头?hào)碼�����。
偽基站不僅僅能偽裝成熟悉的客服號(hào)碼發(fā)送短信誘騙用戶上當(dāng)�����,而且���,只要手機(jī)處在偽基站的控制范圍�,電話號(hào)碼的來(lái)電顯示都可以在和偽基站相連的電腦上隨意設(shè)置�����。
